ISO27001、ISO20000 认证有哪些区别以及要求

ISO27001信息安全管理体系认证

ISO27001即信息安全管理体系，是guojibiaozhun化组织（ISO）发布的一项标准它以其严格的审查标准和的认证体系，成为了全世界应用Zui为广泛和典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵以及病毒感染等内容进行保护。给企业提供了应对当今信息安全问题的一条出路。信息安全对每个企业或者组织来说都是需要的，信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

目前，ISO27001（信息安全管理体系）标准已经得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。

ISO20000信息技术服务管理体系

ISO20000是第一个关于IT服务管理体系的要求的guojibiaozhun，它秉承“以客户为导向，以流程为中线”的理念，并强调按照PDCA(戴明质量)的方法论持续改进组织多提供的IT服务。其目的是提供建立、实施、运作、监控、维护和改进IT服务管理体系(ITSM)的模型。

ISO20000的认证标准适用于各大信息技术行业，主要聚焦在服务领域上。

哪些企业可以申请ISO27001/ISO20000

以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等;

2、通信行业：电信、网通、移动、联通等;

3、皮包公司：外贸、进出口、HR、猎头、会计师事务所等。

对信息技术依赖度高的行业：

1、钢铁、半导体、物流;

2、电力、能源;

3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等。

工艺技术要求高、竞争对手渴望得到的：

1、医药、精细化工;

2、研究机构。

ISO27001和ISO20000有什么不同

ISO20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。

ISO/IEC27001是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

ISO20000以流程为核心，定义了一系列比较抽象的流程目标，而ISO27001以控制点/控制措施为主，比较具体。

ISO20000是面向IT服务管理的质量体系标准，而ISO27001是面向信息安全的质量标准规范，ISO20000强调以流程的方式达到质量管理标准，ISO27001强调以风险控制点的方式来达到信息安全管理的目的。

如：事件管理、业务连续性管理、信息资产管理等方面，大多数的企业都会选择将ISO20000 与ISO27001认证项目一同实施，使两套体系间的互补特性得到充分发挥，更全面更规范的控制公司的服务运维体系与安全管理。

ISO20000适用于企业的IT服务部门，通常是IT部门;ISO27001适用于整个企业，不仅是IT部门，还包括业务、财务、人事等部门。

ISO27001和ISO20000认证条件

1. 企业信用：
   

正常合法经营三个月以上的企业，信用良好，没有违规记录

2. 人力资源：

员工5人以上，有业务相关的技术人员

3. 项目资源：

有2个以上成熟的与认证范围相关的项目

4. 运行时间：

运行该体系满三个月

5. 内审管评：

至少完成一次内部审核，并进行了管理评审

企业申请ISO/IEC20000信息技术服务管理体系认证，需要满足以下四个基本条件:

1. 持有工商行政管理部门颁发的《企业法人营业执照》、《社会团体法人登记证书》等有效法律地位证明文件。

2. 组织应建立符合ISO20000标准要求的管理体系，并实施运行3个月以上。

3. 在进行体系认证审核前需按照文件的要求来进行，至少进行1次内部评审。

4. 信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门xingzhengchufa或该处罚已关闭。

ISO27001/ISO20000认证流程

1、按照ISO20000/ISO27001标准要求建立体系框架;

2、体系建立后，需要运行一段时间，Zui少三个月，产生三个月的运行记录;

3、向认证机构递交审核申请;

4、认证机构评估费用和正式审核时间;

5、认证机构将进行预审，在正式审核前排除一些重大的缺失，让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议;

7、如果能顺利完成审核，在确定清楚认证范围后，发放信息技术服务管理体系/信息安全管理体系证书。在满足持续审核的情况下，三年有效。

ISO27001/ISO20000认证好处

提高信息安全和信息技术服务水平：

ISO27001和ISO20000是国际公认的信息安全管理和信息技术服务管理标准，企业实施这两个标准可以提高企业的信息安全和信息技术服务水平，保护企业的信息安全和客户的利益。

提高企业竞争力：

企业实施ISO27001和ISO20000可以提高企业的竞争力，增强企业的品牌形象和信誉度，提高客户满意度，从而增加企业的市场份额和利润。

 降低信息安全和信息技术服务风险：

ISO27001和ISO20000要求企业建立完善的信息安全管理和信息技术服务管理体系，可以有效地降低信息安全和信息技术服务风险，减少企业的经济损失和声誉损失。

 提高组织效率和利益：

ISO27001和ISO20000要求企业建立完善的信息安全管理和信息技术服务管理体系，可以提高企业的组织效率和效益，降低企业的运营成本和管理成本。

ISO27001/ISO20000认证费用

ISO27001和ISO20000是根据体系覆盖人数来收取审核费用的(这里的覆盖人数和企业总人数是两个不同的概念，体系覆盖人数是可以小于企业总人数的)，覆盖人数越多，收费越高。比如覆盖人数100人的企业收费就会比50人的企业高一些~

ISO27001/ISO20000认证周期

企业获得ISO27001和ISO20000证书的时间周期与企业的人数有直接的关系，因为这关系到了咨询师的工作量以及审核老师现场审核的时间。

具体时间还会与企业的执行与推行的配合度，以及在推行过程中组织机构是否发生重大变化，相关产品范围是否发生变化等因素有关。

一般正常情况下，企业获得ISO27001和ISO20000证书的时间在两个月左右。